1. Огляд
Google у середу розкрив інформацію про фінансово мотивовану загрозу, звану TRIPLESTRENGTH, яка використовує можливості для атак на хмарні середовища, зокрема для криптомайнингу та атак з використанням програм-вимагачів на локальних ресурсах.
"Цей актор здійснює різноманітну загрозову діяльність, зокрема криптомайнинг на викрадених хмарних ресурсах та активність, пов'язану з програмами-вимагачами", — повідомила хмарна платформа Google у своєму 11-му звіті про загрози Horizons.
TRIPLESTRENGTH використовує тріаду зловмисних атак, зокрема незаконний криптомайнинг, програми-вимагачі та шантаж, а також рекламує доступ до різних хмарних платформ, включаючи Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud і Digital Ocean для інших загрозових акторів.
Початковий доступ до цільових хмарних інстанцій забезпечується за допомогою викрадених облікових даних і cookies, деякі з яких походять з інфікованих логів викрадачів інформації, таких як Raccoon. Викрадені середовища потім зловживаються для створення обчислювальних ресурсів для криптомайнингу.
Наступні версії кампанії були спрямовані на використання надзвичайно привілейованих акаунтів для запрошення акаунтів, контрольованих атакуючими, як контактів для виставлення рахунків у хмарному проекті жертви, щоб налаштувати великі обчислювальні ресурси для майнінгу.
Криптомайнинг здійснюється за допомогою програми unMiner в поєднанні з майнінг-пулом unMineable, причому використовуються як алгоритми майнінгу для CPU, так і GPU, залежно від цільової системи.
Можливо, дещо незвично, що операції з програмами-вимагачами TRIPLESTRENGTH фокусуються на локальних ресурсах, а не на хмарній інфраструктурі, використовуючи блокувальники, такі як Phobos, RCRU64 і LokiLocker.
"У Telegram-каналах, що зосереджені на хакерстві, актори, пов'язані з TRIPLESTRENGTH, публікували оголошення про RCRU64 як послугу програм-вимагачів та запрошували партнерів для співпраці в операціях з вимаганням та шантажем", — зазначила хмарна платформа Google.
У випадку з RCRU64 у травні 2024 року загрозові актори, як повідомляється, отримали початковий доступ через протокол віддаленого робочого столу, після чого здійснили латеральний рух і етапи обходу захисту від антивірусів для виконання програми-вимагача на кількох хостах.
Також було помічено, що TRIPLESTRENGTH регулярно рекламує доступ до скомпрометованих серверів, зокрема до серверів хостингових провайдерів і хмарних платформ, у Telegram.
Google повідомила, що вжила заходів для протидії цим діям, ввівши багатофакторну аутентифікацію (MFA) для запобігання ризику захоплення акаунтів і запустивши покращене ведення журналу для позначення чутливих дій з виставлення рахунків.
"Один викрадений обліковий запис може ініціювати ланцюгову реакцію, надаючи зловмисникам доступ до додатків і даних, як на локальних, так і на хмарних ресурсах", — зазначили в Google.
"Цей доступ може бути використаний для подальшого компрометації інфраструктури через сервіси віддаленого доступу, маніпулювання MFA та створення довіреної присутності для наступних атак соціальної інженерії".
Перекладено з: TRIPLESTRENGTH Targets Cloud Platforms with Cryptojacking and Ransomware